cyber-brian/apt-detection-rules
GitHub: cyber-brian/apt-detection-rules
一套按 APT 组织分类并映射 MITRE ATT&CK 的 Sigma 检测规则集合,用于企业环境中的高级威胁狩猎与 SOC 检测。
Stars: 1 | Forks: 0
# APT Sigma 检测规则
这是一个精选的自定义 Sigma 检测规则集合,用于在企业环境中追踪国家级 APT 组织。规则按威胁行为者来源分类,并映射至 MITRE ATT&CK 技术。
## 结构
```
sigma-apt-rules/
├── chinese-apt/
│ ├── apt10/ # Stone Panda / MenuPass
│ ├── apt41/ # Double Dragon / Winnti Group
│ ├── apt40/ # Bronze Mohawk / Leviathan
│ ├── volt-typhoon/ # Bronze Silhouette / VANGUARD PANDA
│ └── mustang-panda/ # TA416 / RedDelta
├── russian-apt/
│ ├── apt28/ # Fancy Bear / STRONTIUM
│ ├── apt29/ # Cozy Bear / NOBELIUM
│ ├── sandworm/ # Voodoo Bear / IRIDIUM
│ └── turla/ # Venomous Bear / IRON HUNTER
└── iranian-apt/
├── apt33/ # Elfin / REFINED KITTEN
├── apt34/ # OilRig / HELIX KITTEN
└── apt35/ # Charming Kitten / PHOSPHORUS
```
## 规则状态定义
| 状态 | 含义 |
|--------|---------|
| `stable` | 已在生产环境中测试,误报率低 |
| `test` | 已在实验室中验证,需要在生产环境中调优 |
| `experimental` | 基于威胁情报,尚未验证 |
## 所需日志来源
- Windows 安全事件日志 (4624, 4625, 4648, 4688, 4697, 4720, 7045)
- Sysmon (Event IDs 1, 3, 7, 8, 10, 11, 13, 15, 17, 18, 22)
- PowerShell 脚本块日志记录 (Script Block Logging)
- EDR 进程/网络遥测数据
- 代理/DNS 日志
- WMI 活动日志
## 参考
- [MITRE ATT&CK](https://attack.mitre.org)
- [Sigma HQ](https://github.com/SigmaHQ/sigma)
- [CISA 公告](https://www.cisa.gov/news-events/cybersecurity-advisories)
- [Mandiant APT 概况](https://www.mandiant.com/resources/apt-groups)
## 作者
为威胁狩猎和 SOC 检测工程编写的自定义规则。欢迎通过 pull request 提供贡献和调优建议。
标签:APT检测, Sigma规则, SOC分析, 威胁情报, 安全, 开发者工具, 目标导入, 超时处理